透明代理是一种在网络层运行的设备，无需在客户端进行任何配置，即可将流量重定向到代理服务器。下面的配置将解决如何将ASA（版本8.4）配置为DNS透明代理的问题。只需很少的努力，就可以将 ASA 配置为 HTTP 透明代理。

在配置透明代理之前，请确保您的客户知道并理解安全策略。

此类问题（以及许多其他问题）将通过使用“set ip next hop”IOS 命令和本地代理服务器上的某种形式的“透明度”的基于策略的路由来解决。

ASA 不支持基于策略的路由 (PBR)，但仍然可以使用 NAT 和出口接口选择过程实现某种程度的 PBR（至少可以解决问题）。更多信息在这里

让我们假设这个模式：

(inside)----ASA----(outside)
             |
             |
           (dmz)

使用以下网络地址：

• 内部 192.168.1.0/24
• DMZ 10.0.0.0/24
• 1.1.1.0/30 之外

假设dmz上有一台DNS服务器，IP地址为10.0.0.2。

假设网络对象和服务对象已正确配置，以下 NAT 语句（称为策略 NAT）将起作用：

nat (inside,dmz) source static obj-inside obj-inside destination static obj-any obj-DNS-Serv service obj-DNS obj-DNS

有关如何配置对象的参考，请参阅：

object network obj-inside
 subnet 192.168.1.0 255.255.255.0
object network obj-DNS-Serv
 host 10.0.0.2
object network obj-any
 subnet 0.0.0.0 0.0.0.0
object service obj-DNS
 service udp destination eq domain
 service tcp destination eq domain

请注意，您必须根据您的环境正确定义网络对象。

实现 DNS 查询限制的最简单方法是实现一个阻止 53 端口出站的外部接口 ACL。

access-list 110 deny udp any any eq 53

简短，甜蜜，切中要害。

关于您的 OP，ServerFault 上的“使用 ASA5505 将所有 DNS 请求重定向到一个特定的 DNS 服务器”表明 ASA 中不存在基于策略的路由功能，但建议使用策略 NAT。不过，我对这个函数不够熟悉，无法举例。